BDU:2023-06394
АО "НППКТ", Сообщество свободного программного обеспечения, Eclipse Foundation, ООО «Ред Софт» Jetty, ОСОН ОСнова Оnyx, РЕД ОС, Debian GNU/Linux
2023-03-23
Уязвимость класса OpenIdAuthenticator контейнера сервлетов Eclipse Jetty связана с недостатками процедуры аутентификации при обработке параметра параметр LoginService. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Eclipse Jetty: https://github.com/eclipse/jetty.project/pull/9528 https://github.com/eclipse/jetty.project/pull/9660 https://github.com/eclipse/jetty.project/security/advisories/GHSA-pwh8-58vv-vw48
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-41900 https://www.debian.org/security/2023/dsa-5507
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения jetty9 до версии 9.4.50+repack-4+deb11u1.osnova1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/